如何降低針對關鍵基礎設施的勒索軟件風險
正如網絡犯罪分子最近對美國第二大肉類加工商JBS公司進行的勒索軟件攻擊所帶來的后果那樣,對關鍵基礎設施的網絡攻擊可能會造成數字領域以外的更多傷害。通過加密關鍵數據和IT系統,這次網絡攻擊迫使JBS公司關閉其生產加工設施數天的時間,只能勉強緩解在全國范圍內的牛肉、豬肉和雞肉短缺情況。
只要勒索軟件攻擊對網絡犯罪分子來說仍然有利可圖且相對容易,它們將繼續對從食品供應鏈到燃料管道的關鍵基礎設施構成實質的威脅。
人們通常將安全視為非此即彼的選擇——或者安全,或者不安全。實際上,安全更多是關于有效管理風險。任何企業都沒有100%阻止入侵嘗試和其他安全事件的把握。但是,企業可以采取措施確保在發生網絡攻擊時,盡可能控制或盡可能降低損害。
緩解的關鍵是早期檢測——如果檢測不到則需要良好的備份
勒索軟件攻擊如此具有破壞性的原因之一是因為它們是如此公開,很難掩蓋業務的全面中斷。而供應短缺、恐慌性購買和價格飆升產生的一些問題,也吸引了媒體和民眾的關注。因此,許多受害者面臨巨大的壓力,需要迅速支付贖金,以期恢復系統正常運營。然而,對于受害者來說,支付贖金代價高昂。據報道,JBS公司為此支付了1100萬美元,并且不能保證網絡攻擊者在收到贖金之后會信守承諾。許多受害者還會再次遭遇攻擊。
幸運的是,很少有網絡攻擊始于勒索軟件,可以讓企業有機會在產生嚴重損害之前檢測、隔離和緩解威脅。當企業為客戶調查勒索軟件事件時,通常會發現惡意軟件或其他一些危害已經在企業的運營環境中發生了幾個月到一年多的時間。
當進入受害者的系統時,網絡攻擊者會找到有用的信息,例如信用卡號碼或社會保險號碼,他們可以竊取這些信息而不被發現。網絡攻擊者為此部署勒索軟件,并從違規行為中獲取贖金。
降低勒索軟件風險的五個步驟
如果企業可以在幾天而不是幾個月內檢測到入侵行為,將顯著限制網絡攻擊的影響——并且可能完全阻止網絡攻擊者使用勒索軟件。但是,如果企業確實受到勒索軟件的攻擊,正確的準備工作可以幫助其快速恢復,同時減少對企業的業務的長期損害。
- 不要忽視資產管理。這聽起來很明顯,但安全的很大一部分是了解運營環境中的內容。如果企業不知道某個應用程序正在其網絡中的某個系統上運行,則無法修補該應用程序。除了簡單地清點擁有的系統之外,還要根據業務關鍵程度對它們進行優先級排序,并尋找它們之間的相互依賴關系。例如,除非企業的電子郵件服務器正在運行,否則其CRM軟件可能無法運行。識別處于多個依賴關系中心或控制關鍵基礎設施(例如工業設備)的關鍵系統,并專注于加強這些資產免受攻擊。每家企業用于安全的資源都是有限的,則首先需要保護網絡中最重要的部分。
- 網絡分段。與大多數勒索軟件攻擊并非始于勒索軟件一樣,對關鍵基礎設施的大多數攻擊也并非始于破壞這些系統。與其相反,網絡攻擊者可以訪問安全性較低、優先級較低的元素,并從那里跳到更具吸引力的目標。通過對企業的網絡進行分段,這將使網絡攻擊者更難實現他們的目標。
- 密切監視系統。僅僅監控防火墻或服務器日志是不夠的。為了快速檢測當今互聯環境中的入侵,企業必須定期檢查數十個組件中的異常情況,其中包括云計算基礎設施和與第三方的連接。因此,企業需要投資安全人員、工具和資源,以便可以有效地監控相關日志和工件。
- 正確備份系統。如果企業受到勒索軟件的攻擊,可能需要從頭開始重建所有技術基礎設施。因此,企業具有足夠的備份來加快進程是非常重要的。不要假設企業已有的備份程序可以勝任這項任務——在考慮勒索軟件的情況下檢查它們。例如,由于勒索軟件攻擊通常先于長達數月的惡意軟件感染,因此考慮將備份存儲更長的時間,以便擁有一份干凈、未受感染的備份副本。此外,企業改變備份策略,以便并非所有備份都在某臺服務器或平臺中。利用內部部署、云平臺和異地選項來確保最大的覆蓋范圍。
- 在網絡攻擊后修復漏洞。如果企業讓相同的漏洞再次被利用,那么恢復其系統是沒有用的。在勒索軟件攻擊之后,投資取證以確定網絡攻擊者如何獲得對系統的訪問權限。然后,關閉該入口點,并解決允許網絡攻擊者或惡意軟件在整個網絡中尋找的任何漏洞。并且如上所述,避免使用感染了導致初始漏洞的惡意軟件的備份。
勒索軟件的威脅不會很快消失,尤其是對于接觸關鍵基礎設施的企業。雖然沒有萬無一失的解決方案,但通過加強監控、網絡細分和備份最重要的系統來執行盡職調查可以顯著降低風險,并在企業成為網絡攻擊者的目標時減輕損害。
